Peligro de usar hosting USA

rajoycalidade · #1 (**permalink**) 09/01/2009, 09:09

Hace unos pocos dias decidi contratar hosting cuyos servidores estan en Usa. Dicho espacio lo usaria para publicar la web de nuestra empresa, donde pondriamos informacion general, catalogo, fotos, y enviariamos presupuestos por mail. ¿Puede perjudicar tenerlo en estados unidos? me han dicho que nos pueden denunciar por tal motivo. ¿eso sera cierto? temo que alguien de la competencia me denuncie, con la maldita crisis hay guerra de precios y de todo tipo entre empresas.

Apolo · #2 (**permalink**) 09/01/2009, 10:07

Yo no entiendo para nada tu mensaje y ni siquiera mencionas cuál es tu país de procedencia, aunque de todas formas no sé desde cuándo se volvió un delito obtener los servicios de hosting desde otro país.

Saludos,

ranman · #3 (**permalink**) 09/01/2009, 10:44

Hola:
Creo que no hay mucho mas que rascar Apolo, conoces tu algun otro pais/republica bananera en la no se puedan albergar los datos en USA ( menos SafeHarbor) si son con caracter comercial que no sea mi amada España?.
Por cierto rajoy... es totalmente cierto, si va a "comerciar" con esos contenidos tienen que estar en territorio europeo o en proveedores de la SafeHarbor ya citada.
Vamos que tira para casa y los experimentos con gaseosa.Suerte.

rajoycalidade · #4 (**permalink**) 09/01/2009, 13:24

Ranman me ha leido el pensamiento en cierto modo. Estamos en España y estamos por sacar nueva web, y a la vez buscando precios encontramos quienes nos ofrecieorn hosting pero los servidores estan en Usa, una ip que nos dieron para que localizaramos los servidores fue 209.126.254.166

Entonces si publicamos la nueva web en dicho servidor, ¿podemos meternos en lios? que leyes estariamos incumpliendo al ser empresa de España y el hosting en Usa?

webosiris · #5 (**permalink**) 09/01/2009, 13:48

lo de SafeHarbor y la LOPD siempre se ha entendido mal.... si no se está informado del tema sería mejor aclararlo, para no confundir aún más.

PRIMERO: la LOPD es solo para el tema de datos personales. Si vas a tener una web empresarial solo con información y donde no vas a procesar datos personales, esa ley no entra en juego.

DOS: no es que no se pueda hospedar en USA. Aquí se explica bien, si la empresa en USA no cumple con SafeHarbor lo único que hay que hacer es pedirle autorización la usuario. así que con SafeHarbor no es necesario pedir autorización al usuario, y sin SafeHarbor si es necesario. es simplemente eso.

stormy · #6 (**permalink**) 11/01/2009, 08:09

Está claro que la "leyenda urbana" ésta no va a morir fácilmente, y menos con los proveedores con servidores en España echando leña al fuego.

Es perfectamente legal alojar una web fuera de España. Por favor, leed atentamente el enlace que comenta Webosiris.

Si se van a almacenar datos de carácter personal, también es legal. Basta informar debidamente al cliente, lo cual se puede hacer en el propio formulario.

Y si hay más dudas, están las leyes para consultar, la web de la LSSI, la web de la Agencia de Protección de Datos, se puede consultar directamente al Ministerio oportuno, hay abogados, etc.

cincinnati · #7 (**permalink**) 11/01/2009, 13:12

Cita:

Basta informar debidamente al cliente, lo cual se puede hacer en el propio formulario.

Y el cliente debe aceptarlo de forma expresa y se debe contar con su consentimiento. No basta con informarle y menos con una línea de texto en la web comercial del proveedor.

Luego tenemos el tema del correo electrónico, que supone un intercambio de datos.

No es tan fácil como dices.

webosiris · #8 (**permalink**) 11/01/2009, 13:55

Cita:

Iniciado por cincinnati

No basta con informarle y menos con una línea de texto en la web comercial del proveedor.

para algo existe el típico checkbox de los formularios que dice "acepto estos términos y condiciones"

ranman · #9 (**permalink**) 12/01/2009, 04:54

Hola:

Un dato personal es un mero nombre, y si vas a dar un servicio me parece bastante complicado el hacerlo sin pedir un solo nombre, y ya no digamos si quieres que te pagen. El que no puedas albergarlos en USA como comenta anteriormente es Totalmente cierto de manera estandar. Existe la posibilidad de pedir autorizacion expresa al director AEPD, que es posible se te acepte. Ademas de esto tienes que hacerlo conocer "de forma clara" a tus clientes en caso de que se te autorize. Yo no te recomendaria le mandases tu tarjeta de visita a la AEPD y menos para exigir tus derechos ya que te puedes encontrar con que ellos vean un minimo defecto y ejerzan los tuyos.
Los proveedores españoles (entre los que me incluyo) no queremos desinformar, lo que queremos es que no empapelen a nuestros clientes/nosotros, cosa que a un proveedor de otro pais le puede dar completamente igual.
Por cierto estoy totalmente en contra de todo este absurdo con el unico fin de recaudar dinero del sudor de los demas.Suerte.

webosiris · #10 (**permalink**) 12/01/2009, 06:34

ranman, POR FAVOR lee el link que puse, esta es la respuesta del jefe de Atención de la AEPD:

Cita:

Las Transferencias Internacionales a otros países distintos de los mencionados (por ejemplo EE.UU o Canadá) requieren la previa autorización del Director de la Agencia Española de Protección de Datos, que es quien valorará los aspectos relativos al nivel de seguridad del país, salvo que se tenga el consentimiento inequívoco de los interesados o que las empresas a las que se transmitan los datos estén acogidas a los principios de puerto seguro o "safe harbour".

así que no, lo que dices no es totalmente cierto... no es Y, es O

ranman · #11 (**permalink**) 12/01/2009, 11:45

Hola:
Webosiris llevo cerca de 2 años haciendo adecuaciones a la LOPD y defendiendo denuncias sobre ello, tengo experiencias de todas los gustos y colores, te aseguro que lo que menos le gusta a este tipo de organismos es que les toques las narices, lo digo con conocimiento de causa. Yo aconsejo a rajoy.... que no se complique la vida que plante su infraestructura en Europa y evitara problemas.
El SALVO que mencionas dice bien clarito que tiene que tener "consentimiento inequivoco", vamos que o te vas a un notario (unica manera en España de demostrar a 100% algo) y firma en papel al canto o tu me diras como defiendes esto, ademas de que ya te digo los inspectores en este sentido son maestros de buscar los errores de forma. Vamos que empezar un negocio de IT y complicarse en cosas de este estilo es bajo mi punto de vista una torpeza mayuscula.
Que tu opinas que esto no tiene porque darse, perfecto, lo respeto.Suerte

stormy · #12 (**permalink**) 12/01/2009, 11:46

Para evitar equívocos y discusiones sin sentido, vayamos a la fuente, la Agencia Española de Protección de Datos:

https://212.170.242.196/portalweb/ca...ides-idphp.php

Cito los casos en los que se permite de forma general la transferencia de datos a un servidor en EE UU:

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

Vamos, con el segundo punto está ya clarísimo, no haría ni falta recabar el consentimiento expreso, ya que resulta necesaria esa transferencia de datos para poder ejecutar el contrato (dar de alta el hosting).

Pero seamos precavidos y solicitemos el consentimiento en el contrato del hosting (términos y condiciones). Si hay dudas sobre el consentimiento:

Cita:

para que dicho consentimiento tenga la consideración de inequívoco, exigencia prevista en el artículo 34 e) de la LOPD, será obligatorio que en la solicitud del mismo conste, además del destinatario de la transferencia, el país de destino, así como, la finalidad específica y determinada para la que se transfieren los datos de carácter personal.

Es decir: no hay ningún problema por tener servidores en EEUU, solamente hay que hacer las cosas bien, al igual que si estuvieran en España.

Edito: ranman, si la única forma de recabar un consentimiento contractual fuera ante notario, sería imposible hacer negocios legalmente. ¿Los contratos de vuestros clientes de hosting están firmados ante notario?

Ahora, "con la ley en la mano" (ver enlace más arriba), que por suerte es bastante clara, quien aún tenga dudas sobre el texto legal, que acuda a un abogado y las solucione. :)

ranman · #13 (**permalink**) 12/01/2009, 12:08

Hola:
Veamos esto:

¿Qué países se consideran con un nivel de protección adecuado?

Se consideran países que proporcionan un nivel de protección adecuado, los estados miembros de la Unión Europea, Islandia, Liechtenstein, Noruega o un Estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos, Suiza, Argentina, las entidades estadounidenses adheridas a los «principios de Puerto Seguro», Guernsey, Isla de Man, Jersey, Islas Feroe y Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.

Aparece USA aqui? a que no. Pues todo lo que sea una excepcion al final es un problema y un foco de discrepancia que si es contra un organismo siempre el usuario tendra las de perder, señores que somos de IT. si queremos jugar a complicarnos la vida hagamoslo, pero con nuestro negocio, no con alquien que desconoce y pregunta.Suerte

peruw · #14 (**permalink**) 12/01/2009, 12:14

Cita:

Iniciado por ranman

Hola:
Veamos esto:

¿Qué países se consideran con un nivel de protección adecuado?

Se consideran países que proporcionan un nivel de protección adecuado, los estados miembros de la Unión Europea, Islandia, Liechtenstein, Noruega o un Estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos, Suiza, Argentina, las entidades estadounidenses adheridas a los «principios de Puerto Seguro», Guernsey, Isla de Man, Jersey, Islas Feroe y Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.

Aparece USA aqui? a que no. Pues todo lo que sea una excepcion al final es un problema y un foco de discrepancia que si es contra un organismo siempre el usuario tendra las de perder, señores que somos de IT. si queremos jugar a complicarnos la vida hagamoslo, pero con nuestro negocio, no con alquien que desconoce y pregunta.Suerte

Tienes mucha razon

stormy · #15 (**permalink**) 12/01/2009, 12:31

Cita:

Iniciado por ranman

Aparece USA aqui? a que no. Pues todo lo que sea una excepcion al final es un problema y un foco de discrepancia que si es contra un organismo siempre el usuario tendra las de perder, señores que somos de IT. si queremos jugar a complicarnos la vida hagamoslo, pero con nuestro negocio, no con alquien que desconoce y pregunta.Suerte

Con todo el respeto, eso es jugar a "río revuelto, ganancia de pescadores".

Como proveedor de alojamiento web con servidores en España te interesa hacer ver que tener datos en EEUU es un problema, cuando no lo es. La ley es sencilla y clara al respecto, y prevé de forma muy explícita cómo tratar datos en países que no estén en la lista, sin ningún tipo de problema.

Estás anteponiendo opiniones particulares tuyas: "todo lo que sea una excepcion al final es un problema y un foco de discrepancia" contra la letra de la ley: "Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista".

Hay infinidad de asuntos mucho más preocupantes, e importantes, a la hora de elegir un proveedor de alojamiento web, y que realmente te pueden complicar la vida.

La ley es clara y sencilla, opiniones ya sabemos que todo el mundo tiene una, y abogados los hay a millares para consultar las dudas...

ranman · #16 (**permalink**) 13/01/2009, 05:23

Hola:
Lo unico que hago es dar mi opinion, y aconsejar a alguien sobre un tema que desconoce, bajo mi punto de vista y tambien segun mis experiencias le estoy indicando a este señor la solucion que yo optaria.
Repito otra vez, somos en teoria profesionales de IT y este señor tiene que preocuparse de aprender mucho de administracion de sistemas,programacion,etc.
Pero la necesidad de complicarse la vida teniendo albergando un equipo en USA teniendo en España proveedores igual de baratos y profesionales la veo totalmente innecesaria, asi como en mero hecho de en un futuro tener que contactar con un abogado para tratar este tema.
Es muy facil y si no lo quereis entender me parece respetable, un equipo en territorio español/Europeo no tendra NINGUN problema por localizacion 100% seguro, un equipo en USA en un proveedor no SafeHarbor puede tener problemas, vuelvo a repetir no lo digo por amor al arte, lo digo por experiencia, es lo ultimo que comento al respecto, yo no busco ganancias, doy una mera opinion, eso si cuanto mas simple mejor.Suerte.

stormy · #17 (**permalink**) 13/01/2009, 09:47

Lo que es una pena es que algún día alguien buscará en Google, encontrará este post, y probablemente se quedará con una idea totalmente equivocada, basada en suposiciones, miedo y confusión, en vez de tener claro que es perfectamente legal tener servidores en cualquier país del mundo y no causa ningún tipo de problema.

Obviamente tener un negocio de cualquier tipo implica respetar la ley y cumplir los requisitos, todos. Igual que tienes que emitir facturas y tributar, igual que tienes que tener un documento con los términos y condiciones del hosting, si coincide que tus servidores no están en España, tienes que indicárselo al cliente. Es un simple requisito más, de los cientos que hay que cumplir cada día.

Es más, parece como que haya que hacer algo "especial", y no hay que hacer nada. El día que redactes los términos y condiciones de tu negocio, recuerda incluír la cláusula especificando el tratamiento de los datos. Solo tienes que hacerlo bien una vez!!!

fvillalba · #18 (**permalink**) 15/01/2009, 08:20

Bueno yo le planteo a stormy, entonces para que está la SafeHarbor, si fuera tan fácil, la SafeHarbor no existiría, bastaría con poner un checkbox y tener los servidores en USA, pero la realidad no es así.

Aquí hay mucho fantasma suelto jugando al cPanel.

Respeto todas las opiniones dadas por ranman.

¿Se considera una transferencia internacional el hecho de que una persona divulgue datos personales en una página web, de modo que los datos personales resulten accesibles desde todos los países?

De acuerdo con la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST), la difusión de datos personales en una página web, de modo que dichos datos resulten accesibles a cualquier persona que se conecte a Internet, no constituye una transferencia internacional de datos.

No obstante, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, sí constituye un tratamiento de datos de carácter personal.

Mi amada SafeHarbor.

Saludos,

stormy · #19 (**permalink**) 15/01/2009, 10:11

Safe Harbor existe porque a la UE le interesa que otros países y/o proveedores adopten el mismo nivel de protección de datos que en Europa. Los proveedores que en EE UU, deciden adoptar el mismo nivel de protección de datos que en Europa, están identificados como tales, y se comprueba que cumplan ese nivel de protección de datos. Nada más que eso.

El tema va de cómo una empresa puede almacenar bases de datos de clientes que incluyan datos de carácter personal en un servidor en EE UU, sin incumplir las leyes españolas; y se puede hacer, de manera sencilla.

Si te vas a dedicar a divulgar ilegalmente datos personales, poco importa que lo hagas después de una transferencia internacional de datos

Lo de "Aquí hay mucho fantasma suelto jugando al cPanel" estaría bien que lo aclararas, no veo que tenga relación con el tema, ni con las respuestas proporcionadas al mismo, ni con ninguno de los que han respondido.

webosiris · #20 (**permalink**) 15/01/2009, 10:19

en fin, piensen lo que quieran, si quieren buscarle la 5° pata al gato que se le va a hacer...

aca muchos mencionan lo de SafeHarbor como si fuera toda la ley, cuando en realidad es un detalle de 1 artículo de una ley bastante larga y completa.
que el server este en España no quiere decir que no puedas violar cualquiera de los otros artículo de la LOPD... si alguien quiere "tocarte las narices" lo va a hacer tengas el server en USA, en China o en pleno centro de Madrid

fvillalba · #21 (**permalink**) 15/01/2009, 10:39

Cita:

Iniciado por stormy

Si te vas a dedicar a divulgar ilegalmente datos personales, poco importa que lo hagas después de una transferencia internacional de datos

Lo de "Aquí hay mucho fantasma suelto jugando al cPanel" estaría bien que lo aclararas, no veo que tenga relación con el tema, ni con las respuestas proporcionadas al mismo, ni con ninguno de los que han respondido.

Dedicar a divulgar datos ilegalmente no, pero para que lo sepas, cualquier web empresarial de ESPAÑA, ha de poner sus datos fiscales en su web, o los datos de su PROPIETARIO, lo cual si esa web está en un servidor de USA ya no estas cumpliendo si la empresa no cumple la SAFEHARBOR, estás violando la ley, quieras o no quieras, ahí no vale el checkbox.

Y sobre lo de aquí hay mucho fantasma jugando al “cPanel”, está más que aclarado, cualquiera hoy en día que alquile servidores en USA o donde sea, se “cree” proveedor de hosting, aunque haya empresas que verdaderamente si lo son.

Saludos,

webosiris · #22 (**permalink**) 15/01/2009, 10:49

y cualquiera se cree abogado

fvillalba, por favor, no marees al personal.

ya se explicó que si uno tiene autorización expresa no hay problema, y si uno pone sus propios datos se supone que, salvo que se sufra de doble personalidad, uno mismo lo está autorizando... es que uno no puede violarse a uno mismo

fvillalba · #23 (**permalink**) 15/01/2009, 10:50

Cita:

Iniciado por webosiris

si alguien quiere "tocarte las narices" lo va a hacer tengas el server en USA, en China o en pleno centro de Madrid

Hombre en Madrid no creo, aquí hace poco el ministerio no se cual de industria creo, hubo un borrado de informático y los muy sabe lo todo con la ley no tenían backups, mira si son listos, al final se quedo en nada, pero eso le pasa ha una pobre empresa de IT y seguramente le enchufan una multa millonaria, visca mi SPAIN IS DIFFERENT.

Saludos,

fvillalba · #24 (**permalink**) 15/01/2009, 10:52

Cita:

Iniciado por webosiris

y cualquiera se cree abogado

fvillalba, por favor, no marees al personal.

Hombre que elogios webosiris, gracias. Abogado tampoco hombre, más bien documentado sobre el tema.

No mareo el personal, en España, cualquier país hay que cumplir con las leyes.

Lo de los fantasmas básicamente me refería ha esto.

Encima las segundas son directas, vamos bien.

webosiris · #25 (**permalink**) 15/01/2009, 10:58

Cita:

Iniciado por fvillalba

No obstante, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, sí constituye un tratamiento de datos de carácter personal.

Mi amada SafeHarbor.

me olvidaba, la safeharbor es para la TRANSFERENCIA INTERNACIONAL DE DATOS, no para la DIFUSIÓN DE DATOS.

Lo dicho... sería bueno que se leyeran la ley, y con la ley en mano argumentaran. La ley tiene 49 artículos. de esos 49, hay solo 2 que se refieren al movimiento internacional, que es lo que viene a tema.

Cita:

Artículo 33. Norma general
1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Artículo 34. Excepciones.
Lo dispuesto en el artículo anterior no será de aplicación:

Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

como ves, lo de Safeharbor es simplemente 1 de las tantas excpciones que existen, y está al mismo nivel que la autorización expresa y muchas otras excepciones que se pueden dar. pero bueno, si hay gente que prefiere saltarse la ley y decir que solo existe 1 excepción y que todas las demás no valen, sin argumentos para demostrar eso, allá ellos..

murquis · #26 (**permalink**) 21/01/2009, 01:39

No sé porque os comeis tanto la cabeza...si todo esto se cumpliera, no existiría el spam, pero no exisitira el spam por e-mail, por correo convencional, por movil, por teléfono... xD